Il Regolamento Europeo n. 679/2016 (GDPR), introducendo la nuova figura professionale del responsabile della protezione dei dati o data protection officer, ha scatenato un proliferare di corsi di formazione tesi al riconoscimento di certificazioni e/o titoli abilitanti alla funzione di RPD/DPO, creando un enorme mercato nonché un discreto numero di “esperti” più o meno qualificati.
Tutto questo ha creato confusione in merito al percorso di formazione, alla necessità o meno delle certificazioni nonché alle competenze che dovrebbe possedere il DPO in relazione alle funzioni da svolgere ai sensi dell’art. 39 del GDPR.
Su questi temi c’è attualmente ampia discussione e dibattito, e sicuramente uno dei nodi più complessi da sciogliere riguarda la quantificazione del giusto compenso del DPO.
Indice degli argomenti
Il compenso del DPO: l’importanza di questa figura
Cominciamo col dire che la figura del responsabile della protezione dei dati (DPO/RPD) è disciplinata dagli articoli 37-39.
In questi primi mesi di applicazione del GDPR le problematiche inerenti tale figura hanno riguardato principalmente due aspetti: il primo attinente all’obbligatorietà della nomina nei casi previsti dall’art. 37 n. 2 e 3 del Regolamento con particolare riferimento al concetto di larga scala; il secondo attinente alle qualifiche e competenze che debba avere il professionista che intenda assumere la carica di responsabile della protezione dei dati.
Quanto alla designazione del DPO/RPD ai sensi dell’art. 37 è obbligatoria quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Tralasciando la lett. a) che resta di più agevole interpretazione, nei casi previsti dai punti b) e c) di titolare o responsabile, soggetti privati, che siano tenuti alla nomina del responsabile della protezione dei dati il problema resta quello di capire quando scatti l’obbligo in relazione al concetto di trattamento dei dati su larga scala.
Alcune indicazioni interpretative sono fornite dal considerando n. 91 che, anche se con riferimento alle valutazioni di impatto, richiama il caso del «trattamento di una notevole quantità di dati personali a livello regionale, nazionale, o sovranazionale e che potrebbero incidere su un vasto numero di interessati che potenzialmente presentano un rischio elevato».
Sul punto, il Garante per la protezione dei dati italiano con le FAQ sul responsabile della protezione dei dati in ambito privato ha fornito alcune indicazioni circa le attività a rischio maggiore (bancarie, assicurative, ospedali, società che erogano servizi informatici).
Infine, sono di ausilio anche le Linee guida WP 29 che nella valutazione sull’obbligatorietà della nomina, sempre in relazione alla definizione di larga scala, forniscono alcuni criteri tra cui:
- numero di soggetti interessati,
- volume dei dati,
- durata del trattamento,
- portata geografica.
Quanto ai requisiti dell’RPD, l’art. 37 comma n. 5 del Regolamento richiede la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
Tale assunto lascia intendere che l’RPD debba essere preferibilmente un giurista. In tal senso si è espresso di recente il Tar Friuli-Venezia Giulia, sezione I, sentenza n. 287/2018, depositata il 13 settembre 2018, che ha ritenuto che il ruolo essenziale dell’RPD attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali in rapporto alla funzione di garanzia che è chiamato a svolgere rispetto ad esso.
Conoscenza specialistica della normativa non significa solo conoscenza della normativa europea e/o della normativa di settore ma anche dei criteri ermeneutici, dei principi e delle fonti del diritto in generale.
È parimenti fuori discussione che la protezione dei dati personali nel mondo digitale passa anche attraverso l’implementazione di misure di sicurezza logiche che sottintendono conoscenze tecnico-informatiche.
Tuttavia, immaginare un individuo in possesso di tutte le competenze e approfondite conoscenze tecniche, normative, manageriali, organizzative e archivistiche è forse utopistico, mentre sarebbe corretto identificare l’RPD in un giurista che abbia conoscenza specialistica della normativa europea e della normativa del settore, con competenze trasversali informatiche, archivistiche ma soprattutto manageriali e che, quindi, sia in grado di gestire un team di esperti di vari settori.
Linee guida per la nomina del DPO
La scelta del DPO compete al titolare del trattamento e, a parere dello scrivente dev’essere una scelta attenta e ponderata, in quanto tale soggetto assume un ruolo di primaria importanza all’interno degli enti pubblici e privati la cui nomina nel primo anno di applicazione del GDPR è stata spesso considerata un mero adempimento formale.
Ritengo che in questi casi la nomina del DPO possa addirittura essere considerata la spia della mancata compliance al GDPR da parte dell’azienda. Dall’esperienza di quest’ultimo anno sono emersi svariati errori nella scelta del DPO tra cui:
- nomina di un dipendente privo di qualifica e competenze in materia di protezione e trattamento dei dati personali;
- nomina di soggetto esterno in “offerta speciale”;
- autonomina del legale rappresentante della società e/o di un amministratore.
In tutti e tre i casi la scelta ricade su figure prive di competenze specialistiche in quanto si privilegia la ricerca del risparmio ripiegando su soluzioni in house, prive di competenze o in palese conflitto di interessi, o soluzioni esterne prive di adeguati curricula.
In ossequio al principio di accountability il titolare è certamente libero di scegliere sul mercato o internamente alla propria realtà il DPO, ma resta esposto alle temute sanzioni amministrative oltre che essere responsabile per culpa in eligendo cioè per aver designato un soggetto privo delle competenze professionali adeguate al ruolo da ricoprire.
Per certi versi, in taluni casi sarebbe meglio non designare il DPO che designarne uno privo di competenze specialistiche in quanto renderebbe ictu oculi manifesta l’inadeguatezza delle misure e del percorso di compliance al GDPR.
Il giusto compenso del DPO: come parametrarlo
Al fine di comprendere l’importanza del ruolo si tenga presente che l’art. 38 richiede che il DPO venga coinvolto in tutte le questioni riguardanti la protezione dei dati personali. In particolare, il Gruppo di lavoro ex art. 29 a titolo esemplificativo ha evidenziato che il DPO debba partecipare alle riunioni di management e debba essere consultato ogni qualvolta debbano essere assunte decisioni impattanti sulla protezione dei dati.
Inoltre, il par. 2 dell’art. 38 statuisce che il titolare del trattamento deve fornire al DPO le risorse necessarie per assolvere ai propri compiti e per mantenere la propria conoscenza specialistica, fornendo altresì le infrastrutture necessarie e risorse finanziaria adeguate.
Sicuramente ai fini della determinazione del quantum possono e devono essere presi in considerazione una serie di elementi quali, ad esempio, la tipologia di attività e delle modalità di trattamento, l’utilizzo massivo delle tecnologie e la periodicità degli adeguamenti tecnologici, presenza di trattamenti automatizzati, diffusione territoriale extra europea.
Al riguardo, inoltre, è utile considerare che le Linee guida sui responsabili della protezione dei dati hanno evidenziato che “in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto”.
Alla luce delle competenze che deve possedere il Data Protection Officer e del ruolo delicato che svolge non può negarsi che il compenso del DPO dovrebbe essere parametrato a quello di un manager, considerando anche che un valore non congruo con il ruolo potrebbe costituire un elemento di allerta.
Invece, purtroppo duole constatare che nella valutazione dei DPO, cresciuti in maniera esponenziale negli ultimi due anni, quando la scelta ricade su professionisti o società esterne si prende in considerazione come requisito essenziale il “miglior prezzo” sia che ci si trovi dinanzi ad organizzazioni private che dinanzi a Pubbliche Amministrazioni a dimostrazione che il Regolamento Europeo è stato vissuto unicamente come un ulteriore onere e non come un’opportunità.
È evidente, quindi, che c’è ancora tanta strada da fare nella diffusione di una cultura orientata alla privacy e alla protezione dei dati.
